首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]用默认浏览器在新窗口或新标签中打开URL链接的方法
发表于: 2011-9-3 17:18 9883

[讨论]用默认浏览器在新窗口或新标签中打开URL链接的方法

wzanthony 活跃值
2011-9-3 17:18
9883
【讨论】用默认浏览器在新窗口或新标签中打开URL链接的方法
用ShellExecute打开链接,对于IE,基本上会覆盖已经打开的页面;直接创建iexplorer进程,参数填URL,则未必是默认浏览器。
目前我知道可以通过explorer来实现这个目的,假设要打开的URL是http://127.0.0.1,那么可以创建explorer.exe进程,参数是http://127.0.0.1;
如果URL里面有空格,例如http://127.0.0.1/ abc,那么参数可以加上双引号,也就是"http://127.0.0.1/ abc";
如果URL里面既有空格,又有双引号(囧),例如http://127.0.0.1/ "abc,那么可以用双双引号转移双引号,也就是"http://127.0.0.1/ ""abc"。
这个方法,从win98到win7x64,都可以实现“用默认浏览器在新窗口或新标签中打开URL链接”。
但是这个方法也有缺点,对于x64版本,所创建的explorer进程不会退出,虽然不断打开并不会导致explorer不断增多(貌似有上限),但总归是留下了一些垃圾。另外打开一个URL链接,还要借他人之手,实在是技术含量太低。
搜寻直接实现的方法,貌似找不到什么有用的结果,于是我自己跟踪了一遍explorer(系统xp-sp3),逆出部分代码如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <shtypes.h>
 
typedef struct BROWPARAM {
    HLOCAL hLocal;          //外网链接包含unicode链接地址,本地路径链接是NULL
    LPITEMIDLIST pidl;      //外网链接是NULL,本地路径链接指向路径位置
    DWORD dwFlag;           //外网链接是0x02000000,本地路径链接是0x00020000(纠错,新发现0x02000000是调用后直接返回,0x00020000等待窗口关闭后返回)
    DWORD dwUnknown;        //总是10,不知道是不是SW_SHOWDEFAULT
} BROWPARAM;
 
int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow)
{
    HMODULE hMod = LoadLibrary("browseui.dll");
    if (hMod != NULL)
    {
        BOOL (__stdcall* lpApi)(BROWPARAM*) = (BOOL (__stdcall*)(BROWPARAM*))GetProcAddress(hMod, (LPCSTR)106);
        if (lpApi != NULL)
        {
            LPCWSTR lpUrl = L"http://www.google.com";
            const size_t szUrl = (wcslen(lpUrl) + 1) * sizeof(WCHAR);
            HLOCAL hLocal = LocalAlloc(LMEM_FIXED, szUrl);
            if (hLocal != NULL)
            {
                void* p = LocalLock(hLocal);
                if (p != NULL)
                {
                    memcpy(p, lpUrl, szUrl);
                    LocalUnlock(hLocal);
                    BROWPARAM bp = {hLocal, NULL, 0x02000000, 10};
                    lpApi(&bp);
                }
                LocalFree(hLocal);
            }
        }
        FreeLibrary(hMod);
    }
    return 0;
}

经过虚拟机测试,win98、2k、xp均可运作,而vista、win7则不行,原因是GetProcAddress取不到106序号的导出函数(返回NULL),在vista上,用LordPE看了下browseui.dll,发现导出表里面倒是有106序号,但是对应部分却不是什么函数内容,而是一个字符串shunimpl.#110,不知是什么意思?另外跟踪了遍vista的explorer,发现打开链接是用COM实现的,虽然代码不长,不过有点累了,先不跟了,上来问问有没有人跟踪得出结论过,这样也就不用重复造轮子了。

[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!

收藏
免费
支持
分享
最新回复 (7)
wzanthony
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
vista的已逆出代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <shtypes.h>
#include <shlobj.h>
 
class BROWINTERFACE : public IUnknown
{
public:
    virtual void __stdcall navigate(LPITEMIDLIST, DWORD dwShow, DWORD dwUnknown, DWORD dwUnknown1, HANDLE, DWORD dwUnknown2) = 0;
};
 
int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow)
{
    if (SUCCEEDED(CoInitialize(NULL)))
    {
        GUID nInterface, nClass;
        memcpy(&nInterface, "\x74\x84\x42\x78\x3B\x47\x60\x46\x90\x68\xF2\xAA\x7F\x6C\xB2\x27", sizeof(nInterface));
        memcpy(&nClass, "\xA7\x04\x63\xA8\xCA\x17\x95\x45\x99\xAB\x52\x30\x43\xA9\xC4\xAC", sizeof(nClass));
        BROWINTERFACE* p = NULL;
        if (SUCCEEDED(CoCreateInstance(nInterface, NULL, 1, nClass, (void**)&p)))
        {
            LPITEMIDLIST lpIDList = ILCreateFromPath("http://www.google.com");
            if (lpIDList != NULL)
            {
                p->navigate(lpIDList, 10, 0, 0, NULL, 0);
                ILFree(lpIDList);
            }
            p->Release();
        }
        CoUninitialize();
    }
}

win7的还不通用,囧!
2011-9-3 18:16
0
wzanthony
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
3
win7的如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <shtypes.h>
#include <shlobj.h>
 
class BROWINTERFACE : public IUnknown
{
public:
    virtual void __stdcall navigate(const GUID& nUnknown, LPITEMIDLIST, DWORD dwUnknown, DWORD dwUnknown1, DWORD dwUnknown2, DWORD dwShow) = 0;
};
 
int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow)
{
    if (SUCCEEDED(CoInitialize(NULL)))
    {
        GUID nInterface, nClass, nUnknown;
        memcpy(&nInterface, "\xCE\x9C\x84\x1F\x46\x25\x9F\x4B\xB0\x3E\x40\x04\x78\x1B\xDC\x40", sizeof(nInterface));
        memcpy(&nClass, "\x60\x46\x8E\x57\x03\xE4\x8F\x4E\x9F\xD4\x6D\x55\x9F\x7A\x0E\xDC", sizeof(nClass));
        memcpy(&nUnknown, "\xB7\xF2\xDF\x75\x36\x69\x06\x4C\xA8\xBB\x67\x6A\x7B\x00\xB2\x4B", sizeof(nUnknown));
        BROWINTERFACE* p = NULL;
        if (SUCCEEDED(CoCreateInstance(nInterface, NULL, 1, nClass, (void**)&p)))
        {
            LPITEMIDLIST lpIDList = ILCreateFromPath("http://www.google.com");
            if (lpIDList != NULL)
            {
                p->navigate(nUnknown, lpIDList, 0, 0, 0, 10);
                ILFree(lpIDList);
            }
            p->Release();
        }
        CoUninitialize();
    }
}


貌似没有通用的方法,
2011-9-5 10:43
0
stu
雪    币: 1259
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
stu
4
cmd /c start "" bbs.pediy.com
或者读注册表获得默认浏览器的路径,然后加参数运行之.
另,空格可以用%20之类的代替试试.

不知道是否各个版本都支持。
2011-9-5 11:55
0
meijingogo
雪    币: 65
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
请教LZ是怎么跟踪explorer进程的,采用的什么工具,IDA还是OD,还是别的什么???
2011-9-5 17:41
0
wzanthony
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
OD跟踪。

过段时间,我准备再继续跟踪XP的BROWSEUI.DLL.#106函数,看看有什么技巧没有。
2011-9-6 13:02
0
wzanthony
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
无力了,跟踪XP的BROWERUI.#106,除了一大堆检测代码外,关键代码就是往ShellWindow发消息,精简后如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
#include <stdio.h>
#include <stdlib.h>
#define _WIN32_WINNT    0x0500
#include <windows.h>
#include <shtypes.h>
#include <shlobj.h>
#include <shlwapi.h>
 
int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow)
{
    HMODULE hMod = LoadLibrary("shlwapi.dll");
    if (hMod != NULL)
    {
        HANDLE (__stdcall* lpSHAllocShared)(LPCVOID lpData, DWORD dwSize, DWORD dwProcessId) = \
            (HANDLE (__stdcall *)(LPCVOID , DWORD, DWORD))GetProcAddress(hMod, (LPCSTR)7);
        BOOL (__stdcall* lpSHFreeShared)(HANDLE hData, DWORD dwProcessId) = \
            (BOOL (__stdcall*)(HANDLE, DWORD))GetProcAddress(hMod, (LPCSTR)10);
        LPVOID (__stdcall* lpSHLockShared)(HANDLE hData, DWORD dwProcessId) = \
            (LPVOID (__stdcall*)(HANDLE, DWORD))GetProcAddress(hMod, (LPCSTR)8);
        BOOL (__stdcall* lpSHUnlockShared)(LPVOID lpData) = \
            (BOOL (__stdcall*)(LPVOID))GetProcAddress(hMod, (LPCSTR)9);
        HWND hWnd = GetShellWindow();
        DWORD dwPid = 0;
        GetWindowThreadProcessId(hWnd, &dwPid);
        if (AllowSetForegroundWindow(dwPid))
        {
            LPCWSTR lpUrl = L"http://www.google.com";
            const DWORD dwUrl = (lstrlenW(lpUrl) + 1) * sizeof(WCHAR);
            const DWORD dwSize = dwUrl + 0x44;
            HANDLE hl = lpSHAllocShared(NULL, dwSize, dwPid);
            if (hl != NULL)
            {
                DWORD* p = (DWORD*)lpSHLockShared(hl, dwPid);
                p[0] = dwSize;
                p[1] = 0x02000000;
                p[2] = 10;
                p[0x10] = 0x44;
                memcpy(p + 0x11, lpUrl, dwUrl);
                lpSHUnlockShared(p);
                if (!PostMessage(hWnd, 0x40B, 0, (LPARAM)hl))
                    lpSHFreeShared(hl, dwPid);
            }
        }
        FreeLibrary(hMod);
    }
    return 0;
}

而且这段代码在vista下一点反应都没有。再跟踪桌面explorer就费事了,再说吧……
2011-9-6 17:19
0
wzanthony
雪    币: 359
活跃值: (41)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
8
这个会覆盖已经存在的浏览器页面。

********************************

跟踪过Explorer代码,最终是调用browseui.#127,但是如果自己伪造参数调用,虽然可以用默认浏览器打开,但是浏览器窗口竟然是属于自己的进程的?!而不是新创建一个浏览器进程或者附属于已存在浏览器进程。

********************************

跟踪Vista的,结果在RPCRT4.DLL的空间跑来跑去,貌似没有跟踪价值。

********************************

发现在64位Win7下直接用com打开新链接,而不借助explorer,仍然有滞留的explorer进程。后来发现这个explorer是有参数的,“/factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding”,它是由某个svchost.exe创建的。也就是说即便是借助explorer完成这一任务,所滞留的explorer进程也不是所借助的那个进程

既然如此,也没有必要再追寻下去了……
2011-9-8 16:41
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》